8 способов защитить свои деньги в банке

В последнее время на vc.ru участились описания случаев мошенничества, когда у клиентов банков уводят деньги, и почти всегда это связано с дистанционным обслуживанием. Еще 5 лет назад мы сделали сервис, который мог быть решить эту проблему хотя бы частично, поэтому пришлось вникнуть в тему и получилось извлечь определенные уроки. Расскажу эту историю и напишу рекомендации, как снизить риск потери своих денег.

Если не хотите читать длинную историю, можете сразу перейти к 8 способам из заголовка.

В 2017 году меня пригласили поучаствовать в проекте, который был нацелен на снижение банковского мошенничества, в роли сооснователя и руководителя маркетинга. Тогда, да и сейчас, банки полагались на мобильный номер клиента как идентификатор. Проблема в том, что мошенники могут делать с банковским счетом (почти) что угодно, если получат доступ к мобильному номеру и/или устройству клиента.

У нас была гипотеза, что можно снизить объемы мошенничества, если отслеживать различного рода «странности» («аномалии» по-дата-сайентистки), происходящие с SIM-картой и устройством пользователя.

Чуть ниже покажу, что это за странности, но сначала о том, как воруют деньги со счетов.

Общее место большого количества случаев — подмена личности, то есть когда мошенники выдают себя за клиента банка, от имени клиента совершают переводы, подтверждают операции и т.д.

Еще есть масса случаев, когда клиенты сами переводят деньги мошенникам, но это отдельная история — не буду ее сейчас касаться.

Подменить личность можно разными способами, но сейчас мы говорим о дистанционном обслуживании, и такая подмена становится возможной, когда:

• Идентификатором клиента выступает номер телефона.
• Номер телефона или мобильное устройство используются для подтверждения операций.

Простыми словами, банк видит не вас — он видит ваш номер телефона (определяемый SIM-картой) и ваше устройство (телефон). По ним банк определяет, вы это или не вы; коммуникация с вами ведется по этим каналам, операции подтверждаются по ним же.

Таким образом, задача банка (в теории) — понять, действительно ли вы совершаете банковскую операцию или это делает мошенник, получивший доступ к вашим средствам идентификации, аутентификации и авторизации, которыми выступают логин/пароль, номер телефона, одноразовые коды из SMS и так далее.

Важная ремарка. Все мы знаем о случаях, которые стали известны общественности, но ничего не знаем о том, когда мошенничество было предотвращено. Так что не стоит думать, что в банках работают лентяи или те, кто не думает о защите ваших денег — еще как думают. По нашему опыту общения с ними, это идейные, крутые и умные ребята, которым приходится искать баланс между степенью защиты, удобством для клиентов и требованиями регулятора.

Но вернемся к фроду. Ниже привожу ситуации, связанные с финансовым мошенничеством и которые можно отлавливать. Если есть такое желание, конечно.

• Перевыпуск SIM.
• SIM переставлена в другой телефон.
• Перехват SMS с помощью трояна на телефоне жертвы.
• Перехват SMS через уязвимости сотовой сети.
• Привязка (подозрительного) номера к счету.
• Перевод на (подозрительный) номер.
• Нетипичное поведение клиента: геолокация, сотовая сеть, время совершения операций и т.д.
• Резкая смена определенных параметров, например, быстрое перемещение клиента в роуминг (и десятки других).
• Получение доступа к SMS-кодам методами социальной инженерии и фишинга.

Все эти случаи мы и научились ловить с помощью сделанного нами сервиса. И не только их — всего анализируемых параметров более 100. Но лучше один раз увидеть, чем сто раз услышать, поэтому покажу видео, которое мы использовали в далеком 2017 для демонстрации работы сервиса потенциальным клиентам. Ролик наглядно показывает, какие ситуации представляют риск для клиентов банков и как их можно определить, чтобы уменьшить объемы мошенничества.

Нельзя сказать, что оценка указанных в ролике параметров нечто невообразимое — все они доступны банкам из собственных систем, от сотовых операторов и других поставщиков данных.

Особенность разработанного нами сервиса была в том, что в нем данные анализируются в совокупности, то есть на оценку риска мошенничества влияет не один параметр или их группа, а комбинация. Кроме того, модуль машинного обучения на основе обучающих выборок самостоятельно увеличивал точность работы модели.

Простыми словами, на старте участвует человек, который задает условия срабатывания «красных флагов», но по мере накопления данных сервис корректирует правила сам, постоянно повышая точность оценки риска мошенничества.

У нас не получилось сотрудничества с банками и поэтому мне сложно сказать, как именно они сейчас защищают клиентов от мошенничества при дистанционном обслуживании, но, судя по периодическим статьям даже здесь, на vc.ru, не все гладко.

Понятно, что используют антифрод системы, отслеживающие аномалии, но почему-то мы все равно часто слышим о случаях мошенничества, которые можно было предотвратить техническими средствами, позволяющими удостовериться:

• Клиент — действительно тот человек, за которого себя выдает.
• Его контактные данные корректны и реальны.

Кроме банков, это можно использовать и в других отраслях, в частности, в электронной коммерции во всех ее проявлениях и в различного рода веб-сервисах, чтобы:

• Поддерживать клиентскую базу в чистоте и порядке, например, удалять/объединять дубли профилей.
• Не допускать захвата аккаунта, что особенно актуально, когда есть возможность привязать к нему банковскую карту.
• Контролировать фейковые заказы и отзывы.
• Предотвращать регистрацию ботов.
• Иметь реальные контакты пользователя.
• Снизить расходы на SMS-подтверждения. К примеру, Telegram планирует потратить 25% от привлекаемого миллиарда долларов на такие подтверждения.

Я считаю, что мобильный номер — удобный идентификатор, но ужасно небезопасный. Если его продолжают использовать для идентификации и подтверждения операций, внимание к защите стоит повысить, причем как бизнесам, так и людям.

Спасение утопающих — дело рук самих утопающих. Если банки не всегда могут нас защитить, придется это делать самим.

Помним, что наша основная задача — защитить средства удаленного доступа к банковскому аккаунту. Это логины/пароли и все, что связано с номером телефона и самим телефоном. Про логины/пароли сказано уже миллион раз, и про это не буду повторяться, поговорим о телефоне.

• Обязательно установите PIN на SIM. Почему-то сейчас сотовые операторы его по умолчанию отключают или ставят дефолтный 0000. Не знаете, как установить — зайдите в салон оператора или задайте вопрос в поддержке. Вот прямо сейчас сделайте, не откладывайте — у меня перед глазами два случая, когда люди отложили вопрос, а потом сильно пожалели. Поставили код 1111 или 9999 или типа того? До свидания, денежки.
• Обязательно установите PIN для блокировки телефона. Еще раз, вдруг вы не знаете разницы: есть код на доступ к телефону — он блокирует телефон. А в предыдущем пункте описан пин-код SIM-карты — он блокирует SIM. Это разные вещи, работающие независимо друг от друга. Установите оба. Поставили код 0000, 1111 или 9999 или типа того? До свидания, денежки.
• Если у вашего телефона есть распознавание отпечатка пальца или лица, используйте и их. Преимущества перед PIN: ни палец, ни лицо нельзя подобрать или подсмотреть, заглянув через плечо.
• Отключите показ содержания SMS и пушей на заблокированном экране. Думаю, тут все понятно: нет никакого смысла защищать телефон, если все и так видно даже на заблокированном устройстве.
• Защитите приложения банков и сотовых операторов PIN-кодом, а еще лучше отпечатком пальца или лицом. Обратите внимание: не только банков, но и сотовых операторов. Если мошенник зайдет в приложение оператора и получит через него PUK-код (я проверял у одного оператора — получилось), то сможет сменить PIN на сим-карте и переставить ее в другой телефон.
• По возможности не используйте двухфакторную аутентификацию через SMS. Лучше использовать Google Authenticator или аналог. Сохраните в надежном месте бэкап-коды от них, иначе при утере устройства вы сами не сможете получить доступ к аккаунтам.
• Сходите в салон своего оператора и напишите заявление на запрет замены SIM по доверенности.
• Деньги храните в банке, к которому не привязан номер телефона.

От всех возможных ситуаций защититься не получится, но, сделав указанное выше, вы серьезно снизите риски потерять деньги. Если рекомендации вам кажутся очевидными, отлично, но проверьте родителей — сделано ли у них.

Ирония в том, что у меня у самого увели 150 000 рублей, перевыпустив сим-карту «по доверенности». Банк имел все возможности предотвратить тот случай, хотя бы обратив внимание на то, что я чудесным образом за секунды переместился из Санкт-Петербурга в Москву, при том, что одновременно сменились сим-карта и телефон. Банку это подозрительным не показалось, а деньги вернуть я не смог, ведь операция была подтверждена через код из SMS. Теперь защищаюсь сам.

Пожалуйста, дополняйте рекомендации в комментариях.

Ну и пара ссылок:

Signals — текущая версия описанного сервиса.

Канал в Телеграме (куда без него) — о практическом маркетинге и собственном предпринимательском опыте без новостей и рекламы.